Das TOR-Projekt gibt es schon seit einigen Jahren. Ich bin zum ersten Mal vor langer Zeit darauf gestoßen, und war damals überrascht, wie einfach das Tool zur Anonymisierung zu benutzen war: Mit dem integrierten Hilfsprogramm Vidalia war man binnen Sekunden mit TOR verbunden und brauchte sich um nichts weiter kümmern. Der vorkonfigurierte portable Firefox ging auf, und man konnte loslegen.
TOR ist seit Tagen wieder in aller Munde. Das hat einerseits mit den Snowden-Enthüllungen zu tun, die kritische User in gezielte Anonymität drängen, andererseits mit einem Versuch mutmaßlich der NSA, TOR zu kompromittieren. Ich habe mir daraufhin neugierdehalber nochmal TOR heruntergeladen, da ich mich vage erinnern konnte, dass ich vor Jahren, als ich es zuletzt ausprobierte, fand, es sei viel zu langsam und unzuverlässig, als dass man es ernstlich benutzen könnte.
TOR funktioniert vereinfacht gesagt so, dass mein PC nicht direkt mit www.google.de kommuniziert, sondern eine Reihe von Proxies zufällig zwischengeschaltet wird. Das bedeutet: Wenn ich www.google.de öffne, dann geht die Anfrage an irgendeinen zufällig gewählten TOR-Server. Von dort geht sie weiter an einen zweiten zufällig gewählten TOR-Server, der nicht mehr erfährt, woher die Anfrage ursprünglich kam. Das geht noch einmal so. Der dritte TOR-Server ruft dann www.google.de ab und reicht das Ergebnis, die Google-Homepage, an den zweiten Server zurück, der zweite an den ersten und der erste an mich. Dadurch sieht es für Google so aus, als wäre die Anfrage vom dritten TOR-Server gekommen; meine eigene IP kennt Google nicht, sondern nur der erste TOR-Server. (Google ist natürlich weniger spannend. In dem Moment, in dem die Seite aber Haschkekse.de, YouPorn.com oder ACAB.net heißt, wird Tarnung grundsätzlich interessant. Und auch generell für Leute, die es nicht mögen, wenn jeder Administrator bei ihrem Provider ihren kompletten Internetverkehr mitlesen kann.)
Mein erster Eindruck war überraschend positiv. TOR hat deutlich an Geschwindigkeit zugelegt, für normales Surfen reicht der verfügbare Traffic im Netzwerk völlig aus. Allerdings muss ich dazu sagen, dass zur Anonymisierung weit mehr gehört als eine kaschierte IP-Adresse. Ich benutze unter anderem Facebook, GMX, NikePlus, und diese Domain, auf der auch der Blog läuft. All diese Dienste kennen in irgendeiner Form meinen Klarnamen: Bei Facebook ist er in Form der angemeldeten Emailadresse hinterlegt (und über die Freunde wäre das sowieso kein Problem, mich zu identifizieren… und so weiter), bei GMX heißt meine Email-Adresse so wie mein Klarname, bei NikePlus ist mein Facebook-Profil und das GPS-Profil meiner Joggingkurse hinterlegt, und diese Domain läuft über den Provider STRATO, der mir seine Rechnungen an meine echte Adresse schickt. All diese Dienste könnte ich zwar über TOR auch benutzen, es würde aber meiner Anonymität innerhalb von TOR eher schaden als nützen.
Wer sich konsequent im Internet anonymisieren will, muss neben seinem Klarnamen noch viele weitere Elemente verstecken. So hat von vornherein sehr schlechte Karten, wer mit einem Email-Dienst operiert, der in einem Land sitzt, das ihn zur Offenlegung von Nutzerdaten zwingt (aktuell ist Lavabit in der Diskussion, welches den Dienst einstellen muss, weil durch die amerikanische Rechtssprechung ein anonymisierender Email-Dienst unterbunden werden kann). Wer Facebook benutzt, macht es der Welt auch ohne Klarnamen durch seine Freundesliste ohnehin sehr leicht, aufgespürt zu werden. Auch wer ein Smartphone benutzt, kann damit rechnen, dass weite Teile seiner Kommunikation über amerikanische Server laufen, die dank Patriot Act und Konsorten abgehört werden.
Man sollte nicht verschweigen, dass das TOR-Netzwerk zugleich Probleme mit sich bringt. Genutzt wird es aufgrund seiner anonymisierenden Wirkung auch von Kriminellen verschiedener Couleur. Insbesondere die pädophile Szene bewegt sich hier sehr offen. Wer das „Hidden Wiki“, ein nur über TOR zugängliches Wiki mit Gebrauchsanweisungen für den digitalen Untergrund, auch nur flüchtig anschaut, kann eine bunte Auswahl an Drogen-, Waffen- und (an) Kinderporno (grenzenden) -Foren und -Händlern finden. Wer das Netzwerk nur als Client benutzt, d.h. nicht selbst als Server für andere Benutzer fungiert, ermöglicht so zwar keine illegalen Aktivitäten anderer Clients über die eigene Leitung, aber es ist denkbar, dass neugierige Programme wie XKeyScore, Prism und dergleichen schon die reine Nutzung des TOR-Netzwerks als verdächtig einstufen und man so auf eine Art „Zielliste“ rutschen kann – und das wäre wenig verwunderlich, wenn man sich ansieht, was über TOR für Unfug getrieben wird.
Tja, und das Fazit? Anonymität im Netz ist kaum hundertprozentig zu gewährleisten. Das liegt schon daran, dass man seinen Klarnamen in verschiedenen Kontexten eben doch benutzt: Sei es in Emails, über Facebook oder beim Shoppen auf Amazon. Was aber recht problemlos und komfortabel mit TOR möglich ist, ist eine selektive Anonymität immer dann, wenn ich keinen Klarnamen nutze. Das bedeutet: Ich sollte TOR immer dann aktivieren, wenn ich mich verstecken will. Hier ist TOR ein viel zuverlässigeres Werkzeug als etwa der Inkognito-Modus des Browsers, denn während der Inkognito-Modus nur lokale Cookies und dergleichen tarnt, verschleiert TOR auch meine IP-Adresse und macht mich damit auch für den Provider unsichtbar.
Dazu noch eine weitere Einschränkung. Der Exit Node, d.h. der letzte Server in der Verschleierungskette, kommuniziert mit meinem Anschluss wieder unverschlüsselt. Es ist diesem Exit Node möglich, dass er meine komplette Kommunikation mithört – inklusive Passwörtern, Emails, Sessions und dergleichen mehr. Darum ist z.B. Internet-Shopping über TOR nicht nur sinnlos, weil man ja seine Adresse hinterlegen muss und dadurch sowieso enttarnt ist, sondern kontraproduktiv, weil ein Dritter meine Zahlungs- und Adressdaten mitlesen und missbrauchen kann.